FQDN または IP アドレスを使用すると、イントラネット サイトがインターネット サイトとして識別される
この記事では、完全修飾ドメイン名 (FQDN) または IP アドレスを使用するときにイントラネット サイトがインターネット サイトとして識別される問題の回避策について説明します。
適用対象: Windows 10 - すべてのエディション
元の KB 番号: 303650
現象
インターネット プロトコル (IP) アドレスまたは FQDN を使用してローカル エリア ネットワーク (LAN)、イントラネット共有、またはイントラネット Web サイトにアクセスする場合、共有または Web サイトは、ローカル イントラネット ゾーンではなくインターネット ゾーンと識別される場合があります。 たとえば、この動作は、Microsoft インターネット エクスプローラーまたは Windows インターネット エクスプローラー、Microsoft Windows エクスプローラー、コマンド プロンプト、または Windows ベースのプログラムを使用して、次のいずれかの形式でアドレスを使用する場合に、共有または Web サイトにアクセスする場合に発生する可能性があります。
\\Computer.childdomain.domain.com\Share
http://computer.childdomain.domain.com
\\157.54.100.101\share
file://157.54.100.101/share
http://157.54.100.101
この動作は、次の設定の一部またはすべてが構成されているかどうかに関係なく発生する可能性があります。
Microsoft Internet エクスプローラー または Windows インターネット エクスプローラーでは、[プロキシ設定] ダイアログ ボックスの [例外] セクションの下にある [アドレスにプロキシ サーバーを使用しない] ボックスに FQDN (または *.domain.com) または IP アドレス (またはアドレス範囲) を追加しました。
注:
インターネット エクスプローラーで [プロキシ設定] ダイアログ ボックスを見つけるには、[ツール] をクリックし、[インターネット オプション] をクリックし、[Connections] をクリックし、[プロキシ設定] をクリックします。
[ローカル エリア ネットワーク (LAN) 設定] ダイアログ ボックスにある [ローカル アドレスチェックプロキシ サーバーをバイパスする] ボックスを選択しました。
注:
インターネット エクスプローラーで [ローカル エリア ネットワーク (LAN) 設定] ダイアログ ボックスを見つけるには、[ツール] をクリックし、[インターネット オプション] をクリックし、[Connections] をクリックし、[ローカル エリア ネットワーク (LAN) 設定] をクリックします。
[ローカル イントラネット] ダイアログ ボックスで、[プロキシ サーバーをバイパスするすべてのサイトを含める] ボックスと [すべてのネットワーク パス (UNC) チェックを含める] ボックスを選択しました。
インターネット エクスプローラーで [ローカル イントラネット] ダイアログ ボックスを見つけるには、[ツール] をクリックし、[インターネット オプション] をクリックし、[セキュリティ] をクリックし、[ローカル イントラネット] をクリックします。
この動作により、認証が必要なイントラネット Web サイトにアクセスするときに、インターネット エクスプローラーによって資格情報の入力が求められる場合があります。 または、インターネット エクスプローラー Security Manager を使用してファイルが信頼できるセキュリティ ゾーンに配置されているかどうかを判断するプログラムで、イントラネット Web サイトまたは汎用名前付け規則 (UNC) 共有上のファイルを開くよう求められたり、禁止されたりすることがあります。 たとえば、Access 2002 で (FQDN または IP アドレスを使用して) ローカル イントラネット共有で Access データベース (.mdb) ファイルを開こうとすると、次のエラー メッセージが表示されることがあります。
Microsoft Access では、このファイルを開くことができません。
このファイルはイントラネットの外部または信頼されていないサイトにあります。 セキュリティ上の問題が発生する可能性があるため、ファイルは開かなくなります。
ファイルを開くには、コンピューターまたはアクセス可能なネットワークの場所にコピーします。
注:
Windows Server 2003 には、Internet エクスプローラー Enhanced Security Configuration という名前の新しいオプション コンポーネントが含まれています。 このコンポーネントは、ローカル イントラネット ゾーンに明示的に一覧表示されていないすべてのイントラネット Web サイトとすべての UNC パスをインターネット ゾーンに割り当てます。 既定では、インターネット ゾーンでは高セキュリティ レベルが使用されます。 そのため、NetBIOS 名を使用してイントラネット Web サイトと UNC パスにアクセスすると、これらの現象が発生する可能性があります。 たとえば、または \\server\share を使用 http://server
する場合、または IP アドレスまたは FQDN を使用すると、これらの現象が発生する可能性があります。
インターネット エクスプローラーセキュリティ強化構成の詳細については、「インターネット エクスプローラー拡張セキュリティ構成 (ESC)に関する FAQ」を参照してください。
原因
この動作は、FQDN または IP アドレスにピリオドが含まれている場合に発生する可能性があります。 FQDN または IP アドレスにピリオドが含まれている場合、インターネット エクスプローラーはインターネット ゾーンと同様に Web サイトまたは共有を識別します。
回避策
この問題を回避するには、適切な IP アドレス範囲または完全修飾ドメイン名 (FQDN) をローカル イントラネットに追加します。 または、インターネット ゾーンのセキュリティ レベルを変更します。 ユーザー認証オプションでは、イントラネット ゾーンでのみ自動ログオンから、現在のユーザー名とパスワードを使用した自動ログオンに変更します。
Windows Server 2003 でインターネット エクスプローラーのセキュリティ強化構成を使用していて、イントラネット サイトにアクセスするために NetBIOS 名を使用している場合は、次のいずれかの方法を使用してこの問題を回避します。
ローカル イントラネット ゾーンにサイトを追加します。 ローカル イントラネット ゾーンにサイトを追加するには、インターネット エクスプローラーでサイトを開き、[ファイル] をクリックし、[このサイトの追加先] をポイントし、[ローカル イントラネット ゾーン] をクリックし、[ローカル イントラネット] ダイアログ ボックスで [追加] をクリックし、[閉じる] をクリックします。
[信頼済みサイト] ゾーンにサイトを追加します。 信頼済みサイト ゾーンにサイトを追加するには、インターネット エクスプローラーでサイトを開き、[ファイル] をクリックし、[このサイトの追加先] をポイントし、[信頼済みサイト] ゾーンをクリックし、[信頼されたサイト] ダイアログ ボックスで [追加] をクリックし、[閉じる] をクリックします。
[セキュリティ強化の構成] をオフにします。 セキュリティ強化構成をオフにするには、管理者である必要があります。 ユーザー (制限付きユーザーや制限付きユーザーなど) のセキュリティ強化構成をオフにして、管理者はオンのままにすることができます。 ユーザーのセキュリティ強化構成をオフにするには、コントロール パネル開き、[プログラムの追加と削除] をクリックし、[Windows コンポーネントの追加と削除] をクリックし、[インターネット エクスプローラーセキュリティ強化構成] をクリックし、[詳細] をクリックし、[ユーザー]、[OK] の順にクリックし、[次へ]、[完了] の順にクリックし、インターネット エクスプローラーをクリックして、新しい設定を適用します。
管理者は、クライアント設定またはサーバー設定を使用して、適切な IP アドレス範囲または FQDN をローカル イントラネットに追加できます。 たとえば、管理者は TCP/IP サフィックスを使用したり、*.domain.com を追加したり、クライアントのインターネット エクスプローラーのローカル イントラネット サイト ゾーンに適切な IP アドレス範囲を追加したりできます。 サーバーでは、管理者はプロキシの自動構成スクリプトを使用できます。 次の回避策では、*.domain.com または適切な IP アドレス範囲が、すべてのクライアント コンピューターのインターネット エクスプローラーのローカル イントラネット サイト ゾーンに追加されます。
ユーザー
この動作を回避するには、各ユーザーが [ ローカル イントラネット サイト ] ダイアログ ボックスに *.domain.com または適切な IP アドレス範囲を追加する必要があります。
- Internet Explorer で、[ツール] をクリックし、[インターネット オプション] をクリックします。
- [ セキュリティ ] タブで、[ ローカル イントラネット] をクリックし、[ サイト] をクリックします。
- [詳細設定] をクリックし、[この Web サイトをゾーンに追加する] ボックスに「.domain.com」または「IP アドレス範囲 (157.54.100-200.)」と入力します。これは
domain.com
会社と最上位のドメイン名です。 - [ 追加] をクリックし、[ OK] をクリックし、[ OK] をクリックし、もう一度 [OK] を クリックして [インターネット オプション] ダイアログ ボックスを閉じます。
- コンピューターを再起動します。
管理者
重要
このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。
管理者は、レジストリに次の変更を加えることで、この設定を展開できます。
ローカル イントラネット ゾーンに含める必要があるドメインごとに、HKEY_CURRENT_USER (現在ログオンしているユーザーのみ) またはHKEY_LOCAL_MACHINE (ローカル コンピューター上のすべてのユーザー) の下の適切なレジストリ キーにキーを追加
domain.com
します。Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
(64 ビット バージョンの Windows XP または Windows Server 2003 でインターネット エクスプローラーまたは 64 ビット バージョンのインターネット エクスプローラーの 32 ビット バージョンの場合は、セキュリティ強化構成がオフになっている場合)。Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
(64 ビット バージョンの Windows XP では 32 ビット バージョンのインターネット エクスプローラー、セキュリティ強化構成がオフになっている場合は 64 ビット バージョンの Windows Server 2003 の場合)。Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ESCDomains
(32 ビット バージョンの Windows Server 2003 のインターネット エクスプローラー、または 64 ビット バージョンの Windows Server 2003 でインターネット エクスプローラーの 64 ビット バージョンの場合は 、セキュリティ強化構成がオンになっている場合)。Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ESCDomains
(64 ビット バージョンの Windows Server 2003 の 32 ビット バージョンのインターネット エクスプローラーの場合は、拡張セキュリティ構成がオンになっている場合)。
注:
既定では、セキュリティ ゾーンの設定は HKEY_CURRENT_USER レジストリ キーに格納されます。 このキーはユーザーごとに動的に読み込まれるため、あるユーザーの設定は別のユーザーの設定には影響しません。 Security Zones: Use only machine settings set is enabled in group policy or the Security_HKLM_only DWORD value is set to 1 in the following key:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
このポリシー設定を有効にすると、ユーザー設定の代わりにマシン設定のみが使用されます。アスタリスク文字 (*) という名前の DWORD 値をキーに
domain.com
追加し、1 に設定します。ローカル イントラネット ゾーンに含める必要がある IP アドレス範囲ごとに、Rangex キー (x は 1、2、3 など) を、 HKEY_CURRENT_USER の下の次のレジストリ キー (現在ログオンしているユーザーのみ) または HKEY_LOCAL_MACHINE (ローカル コンピューター上のすべてのユーザーの場合) に追加します。
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
(64 ビット バージョンの Windows XP または Windows Server 2003 では、インターネット エクスプローラーまたは 64 ビット バージョンのインターネット エクスプローラーの 32 ビット バージョンの場合)。Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
(64 ビット バージョンの Windows XP または 64 ビット バージョンの Windows Server 2003 の 32 ビット バージョンのインターネット エクスプローラーの場合)。
注:
既定では、セキュリティ ゾーンの設定は HKEY_CURRENT_USER レジストリ キーに格納されます。 このキーはユーザーごとに動的に読み込まれるため、あるユーザーの設定は別のユーザーの設定には影響しません。 Security Zones: Use only machine settings is enabled in group policy, or if the Security_HKLM_only DWORD value is 1 in the following key:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
このポリシー設定を有効にすると、ユーザー設定の代わりにマシン設定のみが使用されます。アスタリスク文字 (*) という名前の DWORD 値を Rangex キーに追加し、1 に設定します。
Range (コロン文字の後に Range という単語が続く) という名前の String 値を Rangex キーに追加し、IP アドレス範囲 (157.54.100-200.*など) に設定します。
注:
管理者は、Active Directory 環境に設定を展開できます。
その方法の詳細については、「グループ ポリシー オブジェクトを使用してインターネット エクスプローラーで詳細設定を設定する方法」を参照してください。
重要
この回避策は、IP アドレスを使用する UNC アドレスまたは file:// アドレスでは機能しません。 たとえば、インターネット エクスプローラーでは、適切な IP アドレス範囲を [ローカル イントラネット サイト] リストに追加した場合でも、\\157.54.100.101\share または file://157.54.100.101/share がインターネット ゾーン内にあると識別されます。 この場合、ローカル イントラネット ゾーンで識別されるサイトの NetBIOS 名 ( \\server\share など) を持つ file:// URL を使用する必要があります。 また、Web サイトが LAN 上にあり、NetBIOS 名 (など) を使用している場合でも、一部のアプリケーションでは、 http://server
http:// アドレスを使用してファイルを開くことができない場合があります。 たとえば、Access 2002 では、http:// アドレスからファイルを開くことができません。 IP アドレス、FQDN、または NetBIOS 名を使用してイントラネット Web サイト上の Access データベース ファイル (.mdb) を開こうとすると、Access 2002 では、この記事の 「現象 」セクションにエラー メッセージが表示され、ファイルがイントラネット外または信頼されていないサイトに誤って報告されます。
状態
この動作は仕様です。